Malware SpyPress vinculado à Rússia explora webmails para espionar a Ucrânia

A ESET relata o RoundPress, uma campanha de espionagem cibernética do Fancy Bear (Sednit) da Rússia que tem como alvo organizações relacionadas à Ucrânia por meio de vulnerabilidades de webmail e malware SpyPress.

Pesquisadores de segurança cibernética da ESET revelaram uma sofisticada campanha de espionagem cibernética, codinome RoundPress, avaliando com "confiança moderada" que ela é orquestrada pelo grupo Sednit (também conhecido como APT28 , Fancy Bear ), apoiado pela Rússia. Esta operação tem como alvo ativo organizações ligadas ao conflito em curso na Ucrânia, com o objetivo de exfiltrar dados confidenciais de servidores de webmail vulneráveis, como o RoundCube.

O grupo Sednit, vinculado pelo Departamento de Justiça dos EUA ao hack do Comitê Nacional Democrata (DNC) de 2016 e rastreado pelo Hackread.com em ataques à TV5Monde e à WADA , tem usado e-mails de spearphishing direcionados na campanha RoundPress.

Esses e-mails exploram vulnerabilidades de Cross-Site Scripting (XSS) em várias plataformas de webmail para injetar código JavaScript malicioso, chamado SpyPress, no navegador da vítima.

Na postagem do blog da ESET, compartilhada com o Hackread.com, os pesquisadores observaram que, nos últimos dois anos, grupos de espionagem têm como alvo servidores de webmail como Roundcube e Zimbra para roubo de e-mails devido à sua natureza desatualizada e aos gatilhos de vulnerabilidade remota que facilitam a segmentação.

Em 2023, pesquisadores observaram o Sednit explorando o CVE-2020-35730 no Roundcube . No entanto, em 2024, a campanha se expandiu para atingir vulnerabilidades em:

• Horda (uma falha XSS mais antiga)

• Roundcube ( CVE-2023-43770 , corrigido em 14 de setembro de 2023)

• Zimbra ( CVE-2024-27443 , também conhecido como ZBUG-3730, corrigido em 1º de março de 2024)

• MDaemon ( CVE-2024-11182 , um dia zero relatado por pesquisadores em 1º de novembro de 2024 e corrigido na versão 24.5.1 em 14 de novembro de 2024)

A ESET registrou um e-mail específico de spearphishing enviado em 29 de setembro de 2023, de katecohen1984@portugalmailpt explorando o CVE‑2023‑43770 no Roundcube. Os e-mails frequentemente imitam o conteúdo de notícias para induzir as vítimas a abri-los, como um e-mail enviado a um alvo ucraniano em 11 de setembro de 2024, de kyivinfo24@ukrnet sobre uma suposta prisão em Kharkiv, e outro enviado a um alvo búlgaro em 8 de novembro de 2024, de office@terembgcom sobre Putin e Trump.

Os principais alvos da Operação RoundPress em 2024, conforme identificados pela telemetria da ESET e pelos envios do VirusTotal, são predominantemente entidades governamentais ucranianas e empresas de defesa na Bulgária e Romênia, algumas das quais estão produzindo armas da era soviética para a Ucrânia.

Os pesquisadores também observaram ataques contra governos nacionais na Grécia, Camarões, Equador, Sérvia e Chipre (um acadêmico em estudos ambientais), uma empresa de telecomunicações para o setor de defesa na Bulgária e uma empresa de transporte aéreo civil e uma empresa estatal de transporte na Ucrânia.

As variantes do malware SpyPress (SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE e SpyPress.ZIMBRA) compartilham técnicas de ofuscação e se comunicam com servidores C2 por meio de solicitações HTTP POST. No entanto, suas capacidades variam.

Por exemplo, o SpyPress.ROUNDCUBE foi observado criando regras do Sieve para encaminhar todos os e-mails recebidos para um endereço controlado pelo invasor, como srezoska@skiffcom (o Skiff é um serviço de e-mail voltado para privacidade). O SpyPress.MDAEMON demonstrou a capacidade de criar senhas de aplicativo, concedendo acesso persistente.

Os pesquisadores concluíram que a exploração contínua de vulnerabilidades de webmail por grupos como o Sednit ressalta a importância de correções oportunas e fortes medidas de segurança para proteger informações confidenciais dessas campanhas de espionagem direcionadas.

J Stephen Kowski , CTO de campo da SlashNext Email Security+, comentou sobre o último desenvolvimento, afirmando: “ Ataques como a Operação RoundPress mostram o quão rápido os hackers podem mudar de alvo, especialmente quando encontram fraquezas em plataformas de e-mail populares. ”

“ Não importa se você usa sistemas de e-mail comerciais pagos ou opções gratuitas, auto-hospedadas e de código aberto, como o RoundCube: nenhuma solução é completamente segura. Sistemas auto-hospedados geralmente dão uma falsa sensação de segurança, pois ainda precisam de atualizações regulares e manutenção especializada ” , alertou ele.

“ A melhor maneira de se manter à frente é garantir que os sistemas de e-mail estejam sempre atualizados e corrigidos, usando proteções fortes como autenticação multifator e tendo ferramentas que possam detectar e bloquear e-mails de phishing antes que cheguem aos usuários ”, aconselhou Kowski.